ランサムウェアの感染経路は？対策や予防、感染時の対処法を解説

企業に対するサイバー攻撃の中でも、ランサムウェアによる被害が増えています。万が一感染してしまった場合は適切な初動対応が求められるため、どのような対応を取るべきかを把握しておく必要があります。この記事では、ランサムウェアについての基礎知識と最近の感染経路の変化、感染した場合の対処法や予防策を解説します。

ランサムウェアとは？

ランサムウェア（Ransomware）とは、身代金を意味するランサム（Ransom）とソフトウェア（Software）を組み合わせた造語で「身代金要求型不正プログラム」とも呼ばれます。感染したコンピューターにロックをかけたり、ファイルを暗号化して利用不可な状態にしたりして、その復元と引き換えに身代金を要求する悪質なプログラムです。近年では身代金を支払わなければ盗んだデータを公開すると脅迫するタイプのランサムウェアも流行しています。

代表的なランサムウェアの例

ランサムウェアは「ばらまき型」と呼ばれる不特定多数に送られるタイプが主流でしたが、近年では特定の組織を狙った「標的型」も増えてきています。代表的なランサムウェアとしては、2017年に世界中で攻撃の被害が報告された「WannaCry」が有名です。拡散速度が早く、感染したパソコン1台からネットワーク経由で感染が広がります。他にも、Windowsの脆弱性を狙ったもの、暗号化した情報の身代金要求だけでなく情報を公開するという二重脅迫を行うものなど、さまざまなランサムウェアが確認されています。

ランサムウェアに感染したらどうなる？

ランサムウェアに感染してしまった場合、データ復旧やセキュリティ対策の強化費用、業務停止などの経済的損失だけでなく、顧客や取引先の信用失墜、個人情報漏洩など、扱うデータによっては罰金を支払うことになる可能性もあります。

【関連記事】ランサムウェアに感染したらどうなる？企業がとるべき対処法

ランサムウェアについては、こちらの記事もご覧ください。

ランサムウェアの主な感染経路

近年の傾向としてVPN機器からの感染が最も多く、次いで多いのがリモードデスクトップからの感染です*。その他も含めた主なランサムウェアの感染経路をそれぞれ解説します。

*出典：令和４年におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf

VPN機器やリモートデスクトップを通じた感染

仮想の専用回線で通信を行うことで外部からの侵入を防げるVPN機器ですが、テレワークなどでセキュリティを最新の状態に保てていないと、脆弱性を突かれてランサムウェアに感染してしまいます。リモートデスクトップも自宅のパソコンから会社のパソコンにアクセスして遠隔操作を行うことができるため、テレワークなどで便利な機能ですが、自宅のセキュリティ対策が会社よりも弱い場合が多く、侵入経路にされてしまうことが増えています。

メールの添付ファイルやリンクからの感染

電子メールに記載されたURLや添付ファイルも代表的な感染経路です。業務に関連のありそうなファイル名や拡張子に偽装されていて、クリックしてしまうとランサムウェアが実行されて感染します。

Webサイトの閲覧による感染

ランサムウェアが仕掛けられたWebサイトを閲覧することでも感染します。感染に気付かない場合も多く、業務外で掲示板サイトや違法動画サイトを利用していると感染の危険性が高まります。

ソフトウェアやファイルのインストール・ダウンロード

ソフトウェアをインストールする際も感染の危険があります。一般的なものに見せかけたり、一緒にインストールされてしまったりと様々なケースもあります。ダウンロードするサイトが信頼できるサイトかどうかをしっかり確認しましょう。とくにフリーソフトのインストールには要注意です。

USBメモリーや外部メモリーからの感染

USBメモリーなどの外部ストレージをパソコンなどのデバイスに挿入することで、その中に潜んでいたランサムウェアが自動的に実行されて感染してしまう場合もあります。

ランサムウェア感染の予防と対策

ランサムウェアの感染を予防するためには、不審なメールを開かないなどの対策を従業員一人ひとりに徹底させることが重要です。同時に、企業として技術的対策を施すことで予防や対策をさらに高めることができます。

EPP/EDRの導入は基本ですが、リモートワークが一般化した現在、ゼロトラストの観点から、エンドポイントのセキュリティを包括的に高めるSASE（Secure Access Service Edge）の導入が、今後主流となっていく流れと言えるでしょう。

不審なメールや添付ファイルを検疫し、万一のアクセスも防止・検知する

従業員個人が、メールの添付ファイルやリンクを不用意に開かないよう意識するのはもちろん、組織として不審なメールやファイルを開かせない、開いたら検知する技術的対策も重要です。なりすましメールを検疫するDMARCの導入や、悪意あるサイトへのアクセスを検知・防止するEDRやSWGなどソリューションの活用も有効です。

OSやソフトウェアは常に最新版にアップデートしておく

OSは発売後に脆弱性が見つかることも多く、古いバージョンのまま使い続けているのは、過去に見つかった脆弱性を放置したまま使っているのと同じです。定期的に更新して常に最新の状態にしておくことがランサムウェア対策として非常に重要です。

EPP（アンチウイルス機能）/EDRを導入し、適切に管理する

EPPのアンチウイルス機能やEDRの利用は、感染を予防する最も代表的な方法です。オンラインで使えるものもありますが、感染が発覚した際はすぐにネットワークから遮断する必要があるため、オフラインで利用可能な機能を確認しましょう。

不正なサイトへのアクセスを防止・検知する

本物のWebサイトそっくりに作られた不正サイトに誘導して感染させる手口も増えています。フィルタリングサービスでアクセス可能なサイトをあらかじめ制限するなどの対策の他、フィッシングサイトへのリダイレクトなどを検知・防止するツール・システムであるEDRやSWGの導入が効果的です。

USBメモリーや外部メモリーの安全性に注意する

出所が不明な外部メモリーを使わないことはもちろんですが、最近では通販サイトなどを装った不正サイトでランサムウェアが格納されたUSBメモリーを購入してしまうといった被害まで報告されています。こうした外部デバイスに対しては、情報漏洩防止のためのセキュリティツール・システムDLP（Data Loss Prevention）で侵入を防止するほか、EPP/EDRのセキュリティ機能で外部接続デバイスの制御を行うなどの対策があります。

サイバーセキュリティの専門家に対策を相談する

ランサムウェア感染の初期対応には細心の注意と迅速な処理が必要なので、自社のセキュリティ部門だけでなく、外部の専門業者に事前に相談しておくことも有効です。

ランサムウェアに感染した際の対処法

ランサムウェアに感染してしまった場合の対処法を解説します。

ネットワークから切り離す

ネットワーク内の別の端末まで感染が広がる危険性があるため、すぐに端末をネットワークから切り離すのが大前提です。しかし、これだけではランサムウェアの感染対応には不十分です。昨今のランサムウェアでは、ネットワークに侵入して管理者権限まで掌握し、ドメイン配下へ攻撃範囲を拡大していく、ラテラルムーブメントという手法も多く見られます。そのため、ネットワークを切断するのみではリスクは抑制できていない可能性が高く、影響範囲や被害実態の調査のためにも迅速に専門家への調査依頼を進めるのが適切です。

機器を再起動しない

感染したデバイスやシステムを再起動してしまうと、シャットダウンによって停止していたデータの暗号化が再開してしまい、端末内のファイルが閲覧できなくなるリスクがあります。

サイバーセキュリティ専門の業者に相談する

自社のセキュリティ部門だけでなく、外部の専門業者に速やかに相談しましょう。「ネットワークから切り離す」の項でも触れたとおり、被害の範囲を確認し、適切な対応を早急に行って被害を最小限に食い止めるためにも必須の対応です。

ランサムウェア感染被害への対応、サイバーセキュリティ調査はFRONTEOにご相談ください

ランサムウェア感染の初期対応を早急かつ適切に行うために、FRONTEOの「サイバーセキュリティ調査パッケージ」をおすすめします。10,600件以上の不正調査実績を誇るFRONTEOが、複数の保険会社にも推奨されている高品質なサイバーセキュリティ調査を提供しています。

EDR調査やダークウェブ調査など、サイバー攻撃を受けた際に対応すべき必要最低限の調査をワンパッケージにした初期対応に有効なソリューションで、ペネトレーションテストなど追加調査も実施可能です。専門知識を持つ人材がいない企業の場合、有事対応の際のスピードや専門性に懸念が残ります。圧倒的な実績から得たノウハウをもとに、FRONTEOがサイバー攻撃被害の初期対応をサポートします。